Tenga cuidado con lo que le dice a los chatbots de IA, ya que parece fácil para los piratas informáticos espiar esas conversaciones.
«Ahora cualquiera puede leer chats privados enviados desde ChatGPT y otros servicios», dijo Yisroel Mirsky, jefe del Laboratorio de Investigación de IA Ofensiva de la Universidad Ben-Gurion de Israel. Ars Técnica en el correo electrónico. «Esto incluye a los malos actores en la misma red Wi-Fi o LAN que el cliente (por ejemplo, la misma cafetería), o incluso a los malos actores en Internet: cualquiera que pueda interceptar el tráfico».
Este tipo de ataques, como explica el informe, son lo que se conocen como «ataques de canal lateral», en los que terceros recuperan datos pasivamente utilizando metadatos u otras divulgaciones indirectas en lugar de violar los cortafuegos de seguridad. Si bien este tipo de explotación puede ocurrir con cualquier tipo de tecnología, la IA parece particularmente vulnerable porque sus esfuerzos de cifrado no son necesariamente completos.
«El ataque es pasivo y puede ocurrir sin el conocimiento de OpenAI o de su cliente», explicó el investigador. «OpenAI cifra su tráfico para evitar este tipo de ataques de escucha, pero nuestra investigación muestra que la forma en que OpenAI utiliza el cifrado es defectuosa y, por lo tanto, se revela el contenido de los mensajes».
Aunque los ataques de canal lateral son menos invasivos que otros tipos de hacks, pueden, por ejemplo, Ars informa, citando una tasa de precisión de casi el 55 por ciento del chatbot, lo que hace que cualquier pregunta delicada que uno le haga a la IA sea detectable en busca de malos actores.
Si bien los investigadores de Ben-Gurion se centraron principalmente en las fallas de cifrado en OpenAI, la mayoría de los chatbots en el mercado hoy en día (excepto, por alguna razón, Gemini de Google) pueden usarse de esta manera, indica el informe.
Este problema surge del uso que hacen los chatbots de datos codificados conocidos como «tokens», que ayudan a los modelos de lenguaje a gran escala (LLM) a interpretar las entradas y proporcionar rápidamente respuestas legibles. Por lo general, se envían muy rápidamente para que la «conversación» del usuario con el chatbot fluya de forma natural, como si alguien estuviera escribiendo una respuesta en lugar de que apareciera un párrafo de una sola vez.
Si bien el proceso de entrega suele estar cifrado, un token en sí mismo produce un canal lateral del que los investigadores no eran conscientes anteriormente. Cualquier persona con acceso a estos datos en tiempo real puede, como explican los investigadores de Ben-Gurion en un nuevo artículo, inferir sus deseos basándose en las señales que recibe, de forma similar a comprender el tema de una conversación silenciosa escuchada por casualidad. el otro lado de una puerta o de una pared.
Para documentar este exploit, Mirsky y su equipo en Ben-Gurion analizaron los datos brutos obtenidos a través del canal lateral desconocido a través de un segundo LLM capacitado para identificar palabras clave, como describen en su artículo que aún no se ha publicado oficialmente. Como descubrieron, los LLM tenían aproximadamente un 50/50 de posibilidades de hacer recomendaciones generales y podían predecirlas casi un 29 por ciento más a menudo.
En un comunicado, Microsoft dijo Ars que el exploit, que también afecta a su Copilot AI, no comprometa los datos personales.
«La información específica, como los nombres, es imposible de predecir», dijo un portavoz de Microsoft al sitio. «Estamos comprometidos a ayudar a proteger a nuestros clientes contra estos ataques potenciales y los abordaremos con una actualización».
Los hallazgos son inquietantes y, en el caso de temas delicados como el aborto o las cuestiones LGBTQ, ambos criminalizados en los Estados Unidos en este momento, pueden usarse para dañar o castigar a quienes simplemente buscan información.
Más sobre las vulnerabilidades de la IA: Microsoft dice que la personalidad alternativa de Copilot como AGI vengadora y que expresa a Dios es «una característica, no una característica»